BOLLETTINO

DI

SICUREZZA INFORMATICA

STATO MAGGIORE DIFESAReparto Informazioni e Sicurezza

Ufficio Sicurezza Difesa

N°5/2002

PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904 PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904

E-MAIL : ris.s@smd.difesa.itE-MAIL : ris.s@smd.difesa.it

SISTEMI OPERATIVI : - UNA GRAVE FALLA PER IIS E INTERNET EXPLORER Pag.1

- SHARE LEVEL PASSWORD VULNERABILITY Pag. 8

- ELIMINARE I COOKIES ALLA PARTENZA DEL

SISTEMA OPERATIVO MICROSOFT WINDOWS Pag.9

FOCUS ON….: KEYLOGGER Pag.4

SICUREZZA DELLA RETE: - LE VENTI VULNERABILITA’ PIU’ CRITICHE

PER LA SICUREZZA IN INTERNET

(QUARTA PARTE). Pag.10

Pagina 1

UNA GRAVE FALLA PER IIS E INTERNET EXPLORER

Microsoft dà notizia di una falla considerata critica, contenuta nel MDAC (Microsoft Data Access Components). MDAC è un componente di Windows (nello specifico si identifica come una libreria di componenti per l’accesso ai dati), utilizzato da molti applicativi, fra cui IIS (Web Server prodotto dalla Microsoft), e le più recenti versioni di Internet Explorer, per quanto riguarda tutte le operazioni di accesso ai database. Il problema risiede in un buffer “unchecked” di uno dei componenti di MDAC e precisamente nell’RDS (Remote Data Services) il quale permetterebbe l’accesso ai dati da remoto attraverso l’IIS. Questo accesso, inoltre, consente di manipolare, sempre da remoto, file con estensione .dll ed .exe.

Per la natura stessa delle componenti MDAC e RDS Internet Explorer può risultare compromesso da un “malicious web server”, anche se nel system client non sono installate le componenti MDAC. Alcune versioni di IE (ver. 5.01 – 5.5 – 6.0) le componenti di RDS vengono manipolate in modo tale di andare in “OVERRUN” e consentire quindi sul sistema client l’esecuzione di un codice arbitrario. Il problema affligge le versioni 2.1, 2.5 e 2.6 di MDAC : in sintesi, sono a rischio quasi tutte le versioni di Windows, tranne Windows XP, che nonostante integri IE 6.0, utilizza la versione 2.7 RTM di MDAC che risulta non vulnerabile.

Per quanto sopra è necessario dapprima sincerarsi sulla versione MDAC installata sulla propria macchina, sia essa server o client. Per fare questo esistono due metodi :

1.Verificando le informazioni sulla versione memorizzate nel Registro di sistema

Sebbene non rappresenti il metodo più sicuro per controllare le versione di MDAC, risulta di più semplice applicazione (nel caso in cui non si siano verificati problemi relativi al MDAC). Le informazioni sono da ricercare nelle seguenti chiavi:

HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstaller

HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\Version

Versione MDAC

Pagina 2

2. Utilizzando un programma chiamato : “Component Checker”

Il metodo più affidabile per determinare quale versione di MDAC è stata installata, è quella di confrontare il numero di versione di ogni file DLL di MDAC con un elenco dei file DLL presenti in ogni versione di MDAC. Il programma “Component Checker” consente di effettuare questa operazione, controllando i file presenti nel computer, confrontandoli con un elenco relativo a ogni versione di MDAC e riportando la corrispondenza più esatta.

Per installare Component Checker, attenersi alla seguente procedura:

1. Visitare il sito web Microsoft (in lingua inglese): http://www.microsoft.com/data/download.htm#ccinfo

2. Fare clic sul collegamento per effettuare il download di Component Checker. Quando richiesto, salvare il file Cc.exe (un file eseguibile autoestraente) sul desktop.

3. Sul desktop fare doppio clic sul file Cc.exe. In questo modo, i file di Component Checker verranno estratti e installati nel percorso predefinito (C:\Comcheck).

Per utilizzare Component Checker e verificare la versione di MDAC in uso, attenersi alla seguente procedura:

1. Fare clic sul pulsante Start , quindi scegliere Esegui.

2. Fare doppio clic sul file comcheck.exe nella cartella comcheck

3. Nella finestra di dialogo Component Checker – Choose Analysis type selezionare Perform Analysis of your machine and automatically determine the release version, quindi scegliere OK.

4. Identificare la versione di MDAC installata nel computer effettuando la scansione di tutti i file MDAC di base e delle impostazioni del Registro di sistema. Sono necessari alcuni minuti per il completamento di questa operazione. Una volta terminata la scansione verrà visualizzato un messaggio simile alla seguente figura :

Pagina 3

5. Scegliere OK.

6. Verrà visualizzato un riepilogo dei file e delle impostazioni sottoposti a scansione. E’ possibile ignorare gli errori Dir, FileDescription e FileSize.

Se da questo controllo risultasse che la versione di MDAC è la 2.1 – 2.5 o la 2.6 (versioni vulnerabili) si consiglia di aggiornare l’MDAC alla versione 2.7.

Per scaricare la versione 2.7 si dovrà visitare il seguente sito : http://www.microsoft.com/data/download.htm e seguire le istruzioni.

Una volta installata la versione 2.7 ripetere il controllo per conferma dell’avvenuto aggiornamento.

Pagina 4

KEYLOGGER

Talvolta riaccendendo il computer ci si trova di fronte a qualcosa di cambiato rispetto a quando l’abbiamo spento, una icona spostata oppure dei messaggi di posta elettronica che non ricordiamo di aver letto o scaricato. Diciamo che non è proprio buona norma ma può succedere che qualcuno in assenza del titolare del computer, lo usi all’insaputa di quest’ultimo. Per contrastare questa intrusione potremo quindi installare hard disk removibili, oppure programmi di crittografia atti a cifrare dati sensibili registrati sul computer e tutto quanto in nostro possesso per proteggere i dati, ma tutti questi accorgimenti non rilevano nulla sull’identità del trasgressore.

Per risalire all’identità del trasgressore bisognerà sapere cosa esso faccia all’interno del PC e a quali risorse attinga e come le utilizza, dopo averle trovate; i Keylogger sono strumenti per perseguire questo scopo, essi sono programmi che si installano sul pc e che registrano, in maniera dipendente dall’impostazione del programma : si possono includere i siti visitati, le applicazioni utilizzate, il tempo di utilizzo di quest’ultime, sino ad arrivare a registrare i tasti premuti, ed in questo caso non solo le password, ma anche ciò che scrive un utente.

I Keylogger rintracciabili su Internet sono centinaia, verrà visto in particolare l’installazione e l’uso di Windows Keylogger ver. 5.04 (esiste in questo sito anche la versione 4.0 completamente funzionante ma con minori potenzialità)

Installazione ed uso : il programma si scarica dal sito http://www.littlesister.de, non necessita di installazione; è un autoestraente che si scompatta nella directory da voi indicata; effettuando un doppio clic sull’eseguibile ci troviamo nella schermata principale.

Nella schermata principale (Protocol) troviamo le impostazioni più semplici quali l’autostart, il percorso di salvataggio del log file con il nome con cui si decide di salvarlo e effettuare gli screenshots (foto dello schermo).

E’ importante ricordarsi di bloccare il “logging engine” ogni qualvolta si apporta una modifica per il successivo start, inoltre fermare in anticipo il “logging engine” prima di visualizzare il file di log.

Pagina 5

Nella seconda schermata (Scheduler) è possibile programmare l’orario di accensione e di spegnimento del programma, oltre all’orario della sua eventuale autodistruzione.

Nella terza schermata (Options) si configurano le opzioni tramite e-mail del file di log, si può decidere di ricevere il file ad una determinata ora oppure quando raggiunge una grandezza stabilita

Una volta configurate le schermate possiamo decidere quando far partire il “logging engine” attraverso il bottone nella schermata principale. Per visualizzare infine il log file premere il bottone view logfile, quindi apparirà un schermata simile alla figura che segue dove saranno mostrati tutti i movimenti commessi dall’aggressore con i rispettivi tempi.

Pagina 6

Se qualche “malintenzionato” provasse ad aprire il log file ecco come si presenterebbe :

Come molti programmi anche Keylogger implementa un sistema di cifratura dell’output che può essere risolto solo usando un’opzione specifica nella schermata principale di configurazione del programma stesso.

Pagina 7

Infine, bisogna tener presente che su Internet non è difficile trovare degli antikeylogger; quest’ultimi sono programmi che scannerizzano il computer alla ricerca dei programmi keylogger.

AVVISO :

L’uso sopradescritto di un programma come Windows Keylogger è corretto se installato sul proprio pc, risulta però evidente che se installato su un pc di un’altra persona, potrebbe servire anche per spiare la sua privacy. In questo caso, oltre che eticamente scorretto, tale uso è vietato; potrebbe accadere che con la funzione di auto-protect attivata, alcuni antivirus potrebbero rilevare gli eseguibili dei programmi keylogger come trojan. Si consiglia quindi,di usare tali programmi eslusivamente in locale, mettendo in quarantena detti eseguibili, quando si naviga in Internet.

Pagina 8

SHARE LEVEL PASSWORD VULNERABILITY

La Microsoft ha da poco rilasciato una patch riferita alla vulnerabilità che affligge i sistemi Microsoft : Windows 95 – Windows 98 – Windows 98 SE – Windows ME.

Il problema riscontrato è da ricercarsi nella condivisione delle cartelle in rete, dove il server verifica la correttezza delle password, ma non ha nessun controllo sulla lunghezza; di conseguenza se viene tentato l’accesso con una password di un solo carattere e quest’ultimo corrisponde al primo carattere della password effettiva, l’accesso viene garantito.

La patch è reperibile presso i seguenti siti :

Windows 95:

http://download.microsoft.com/download/win95/Update/11958/w95/EN-US/273991USA5.EXE;

Windows 98 and 98 Second Edition :

http://download.microsoft.com/download/win98se/Update/11958/w98/EN-US/273991USA8.EXE;

Windows Me :

http://download.microsoft.com/download/winme/Update/11958/winme/EN-US/273991USAm.EXE;

Pagina 9

ELIMINARE I COOKIES ALLA PARTENZA DEL SISTEMA OPERATIVO MICROSOFT WINDOWS

Esiste la possibiltà di eliminare i “cookies” ogni volta che il sistema operativo si riavvia, senza andare di volta in volta a cancellare manualmente i “cookies” nella cartella di Windows oppure dall’opzioni di Internet mediante il tasto Strumenti di Internet Explorer.

Agire come segue :

- dal tasto start (avvio) premere Esegui

- digitare la parola “sysedit” (apparirà una schermata come la figura seguente)

- aggiungere nella cartella Autoexec.bat come ultima stringa:

deltree /y C:\WINDOWS\COOKIES\*.*

1. “deltree” ordina di cancellare qualcosa;

2. “/y” evita che venga chiesta conferma finale all’utente;

3. “C:\WINDOWS\COOKIES\” è il percorso per raggiungere la cartella “cookies”;

4. “*.*” indica esattamente “tutto”, quindi tutto il contenuto della cartella “cookies”.

- quindi da “File” salvare e uscire;

- fare ripartire il computer, noterete che prima che si avvii il sistema operativo verranno cancellati automaticamente tutti i cookies presenti nella cartella.

Nota : l’unico lato negativo risiede nel fatto, che la ripartenza del computer risulterà qualche secondo più lenta.

Pagina 10

LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET

(QUARTA PARTE)

G7 - Programmi CGI vulnerabili

G7.1 Descrizione:

La maggior parte dei server web, inclusi Microsoft IIS e Apache, supportano le funzionalità dei programmi CGI (common gateway interface) per fornire interattività alle pagine web e funzioni come la raccolta e la verifica di dati. Di fatto, la maggior parte dei server web contiene (ed installa) programmi CGI dimostrativi. Sfortunatamente sono troppi i programmatori di CGI che non considerano il fatto che i loro programmi forniscono a qualsiasi utente di Internet un collegamento diretto al sistema operativo del computer sul quale è installato il server web. I programmi CGI vulnerabili rappresentano un'attrattiva particolare per gli aggressori perché sono relativamente facili da individuare ed eseguire con i privilegi e la potenza del software dello stesso server web. È risaputo che i programmi CGI vulnerabili sono stati sfruttati per deturpare pagine web, rubare numeri di carta di credito e creare backdoor per assicurare intrusioni successive. Dopo la violazione del sito web del Dipartimento di Giustizia degli Stati Uniti, è stata condotta un'analisi approfondita che ha determinato che molto probabilmente ciò che aveva permesso la violazione era la vulnerabilità di un programma CGI. Le applicazioni dei server web sono ugualmente vulnerabili a causa delle falle di sicurezza generate da programmatori inesperti o disattenti. Come regola generale, i programmi dimostrativi devono essere sempre rimossi dai sistemi di produzione.

G7.2 Sistemi interessati:

Tutti i server web.

G7.3 Lista CVE:

(Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo esempi di alcune delle vulnerabilità appartenenti alla categoria in questione).

CVE-1999-0067, CVE-1999-0346, CVE-2000-0207, CVE-1999-0467,CAN-1999-0509, CVE-1999-0021, CVE-1999-0039, CVE-1999-0058,CVE-2000-0012, CVE-2000-0039, CVE-2000-0208, CAN-1999-0455,CAN-1999-0477

G7.4 Come determinare se siete vulnerabili:

Siete vulnerabili se il vostro server web ospita qualche codice dimostrativo. Se avete programmi CGI legittimi, controllate che la versione utilizzata sia l'ultima e quindi effettuate l'analisi del vostro sito con uno scanner per la rilevazione delle vulnerabilità. Simulando il comportamento di un aggressore, sarete preparati a proteggere i vostri sistemi. Per scoprire script CGI vulnerabili potete usare uno scanner per la rilevazione delle vulnerabilità CGI chiamato whisker, reperibile presso:

http://www.wiretrip.net/rfp/

Pagina 11

G7.5 Come proteggersi:

Questi sono i rimedi principali da adottare come difesa da programmi CGI vulnerabili:

1.Rimuovete tutti i programmi CGI dimostrativi dal server web di produzione.

2.Controllate e verificate i restanti script CGI e rimuovete quelli non sicuri da tutti i server web.

3.Accertatevi che tutti i programmatori di CGI rispettino una severa policy per il controllo della lunghezza del buffer di input nei programmi CGI.

4.Applicate le patch per le vulnerabilità note che non possono essere rimosse.

5.Accertatevi che la cartella CGI bin non contenga compilatori o interpreti.

6.Rimuovete lo script "view-source" dalla cartella cgi-bin.

7.I server web non devono essere in esecuzione con i privilegi di amministratore o di root. La maggior parte dei server web può essere configurata per funzionare con account dotati di privilegi inferiori, come ad esempio "nobody".

8.Non configurate il supporto CGI sui server web che non ne hanno bisogno.

Le vulnerabilità principali dei sistemi Windows (W)

W1 - Vulnerabilità Unicode (attacco trasversale alle cartelle dei server web)

W1.1 Descrizione:

Unicode assegna un numero univoco a ciascun carattere, indipendentemente dalla piattaforma, dal programma e dalla lingua. Lo Standard Unicode è stato adottato dalla maggior parte dei produttori, compreso Microsoft. Inviando a un server IIS una URL, appositamente preparata, contenente una sequenza Unicode UTF-8 non valida, un aggressore può forzare il server ad uscire letteralmente da una directory e ad eseguire script arbitrari. Questo tipo di attacco è anche conosciuto come directory traversal attack (attacco trasversale alle cartelle).

Gli equivalenti Unicode di / e di \ sono, rispettivamente, %2f e %5c. Tuttavia, potete rappresentare questi caratteri anche utilizzando le sequenze cosiddette decodificate. Le sequenze decodificate sono rappresentazioni Unicode tecnicamente non valide, essendo più lunghe di quelle necessarie per rappresentare il carattere. Sia / che \ possono essere rappresentati con un singolo byte. Una rappresentazione decodificata, come ad esempio %c0%af al posto di / rappresenta il carattere utilizzando due byte. IIS non è stato concepito per eseguire controlli di sicurezza sulle sequenze decodificate. Perciò i controlli di sicurezza di Microsoft possono essere aggirati trasmettendo una URL con sequenza Unicode decodificata. Se la richiesta proviene da una cartella contrassegnata dai diritti di esecuzione, l'aggressore può fare in modo che i file eseguibili presenti sul server vengano avviati. Ulteriori informazioni sui rischi legati alla vulnerabilità Unicode possono essere reperite presso: http://www.wiretrip.net/rfp/p/doc.asp?id=57&face=2

W1.2 Sistemi interessati:

Microsoft Windows NT 4.0 con IIS 4.0 e Windows 2000 server con IIS 5.0 che non abbiano installato il Service Pack 2.

W1.3 Lista CVE: CVE-2000-0884

Pagina 12

W1.4 Come determinare se siete vulnerabili:

Siete probabilmente vulnerabili se state usando una versione IIS non aggiornata. Il modo migliore per stabilire se siete vulnerabili è quello di eseguire hfnetchk. Hfnetchk è uno strumento creato per gli amministratori per la verifica del livello di aggiornamento di uno o più sistemi e funziona in rete. La vulnerabilità Unicode di attacco trasversale alle cartelle è stata corretta con i seguenti aggiornamenti:

•Q269862 - MS00-057

•Q269862 - MS00-078

•Q277873 - MS00-086

•Q293826 - MS01-026

•Q301625 - MS01-044

•Windows 2000 Service Pack 2

Se non è stato installato nessuno di questi aggiornamenti, il sistema risulta essere vulnerabile a quanto descritto.

Per una verifica più specifica, provate a lanciare questo tipo di attacco contro il vostro sistema e controllatene l'esito. Provate ad utilizzate il seguente comando contro il vostro server web IIS:

http://victim/scripts/..À¯../winnt/system32/cmd.exe?/c%2Bdir%2Bc:%5C%20

Per la verifica ad un sistema specifico è possibile che dobbiate modificare la URL. Se avete rimosso la cartella scripts (operazione consigliata), questo comando non sarà eseguito. Al posto della cartella scripts indicata nel comando, potete verificare le funzionalità di un sistema creando una cartella temporanea con diritti di esecuzione, oppure utilizzando un'altra cartella con i diritti di esecuzione già impostati. È ad esempio possibile che la cartella scripts sia stata rimossa ma che sia presente una cartella chiamata cgi-bin. Effettuate la verifica sul vostro sistema usando quindi la cartella cgi-bin al posto della cartella scripts.

Se siete vulnerabili, questa URL vi restituirà l'elenco dei contenuti del drive C della macchina vulnerabile. In sostanza l'attacco che state effettuando contro il vostro sistema è simile all'attacco di un vero aggressore. L'unica differenza è data dal fatto che mentre voi impiegate un comando non-intrusivo (dir), un aggressore potrebbe causare seri danni oppure creare una back door nel sistema.

Pagina 13

W1.5 Come proteggersi:

Per proteggersi da questo tipo di attacco è necessario installare gli ultimi aggiornamenti Microsoft. Per informazioni su come reperire gli aggiornamenti fate riferimento al Microsoft Security Bulletin:

http://www.microsoft.com/technet/security/bulletin/MS00-078.asp

Anche strumenti come IIS Lockdown Tool e URLScan possono difendervi da questa vulnerabilità. IIS Lockdown Tool è stato progettato per aiutare gli amministratori a isolare un server IIS ed è reperibile presso:

http://www.microsoft.com/technet/security/tools/locktool.asp

URLScan è un analizzatore che filtra le richieste HTTP. Per esempio, può essere utilizzato per filtrare richieste contenenti caratteri con codice UTF8. URLScan è reperibile presso:

http://www.microsoft.com/technet/security/URLScan.asp